Ewido kann Virus nich löschenThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
23.05.2006, 09:10
Member
Beiträge: 16 |
||
|
||
23.05.2006, 11:04
Ehrenmitglied
Beiträge: 29434 |
#2
Stauffi
hier ist/war ein Wareout auf dem PC 1. Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" 2. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 3. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.05.2006, 11:23
Member
Themenstarter Beiträge: 16 |
#3
Hier schonmal die Logdatei von HijackThis:
Logfile of HijackThis v1.99.1 Scan saved at 11:22:37, on 23.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\vsnpstd.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\InterVideo\WinDVD4\WinDVD.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Christian\Desktop\hijackthis\HijackThis.exe O1 - Hosts: localhost 127.0.0.1 O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{B9D10~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{B9D10~1\reboot.ini -l0x7 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0C62054E-9B0C-4965-971E-66E6F7F0EEBB}: NameServer = 85.255.115.52 85.255.112.85 O17 - HKLM\System\CCS\Services\Tcpip\..\{47DEA8C8-84F8-4998-866C-CC37C129219F}: NameServer = 85.255.115.52,85.255.112.85 O17 - HKLM\System\CCS\Services\Tcpip\..\{558408AB-CF4E-4F31-B09E-2D820A0E2E50}: NameServer = 85.255.115.52,85.255.112.85 O17 - HKLM\System\CCS\Services\Tcpip\..\{DC9791FD-7535-4970-B322-E9328C91E8BB}: NameServer = 85.255.115.52,85.255.112.85 O17 - HKLM\System\CS1\Services\Tcpip\..\{0C62054E-9B0C-4965-971E-66E6F7F0EEBB}: NameServer = 85.255.115.52 85.255.112.85 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe |
|
|
||
23.05.2006, 12:13
Ehrenmitglied
Beiträge: 29434 |
#4
Stauffi
Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) UnSpyPC in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. ---------------------- Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html --------------------- Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next (poste das log) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.05.2006, 12:18
Member
Themenstarter Beiträge: 16 |
#5
http://virus-protect.org/datfindbat.html
Hier die 4 Textdateien: Verzeichnis von C:\WINDOWS\system32 23.05.2006 12:09 50.257 nvapps.xml 23.05.2006 11:50 2.206 wpa.dbl 22.05.2006 14:17 52.858 interceptor.sys 22.05.2006 14:17 45.056 WNASPI32.DLL 19.05.2006 19:30 380.350 perfh009.dat 19.05.2006 19:30 52.764 perfc009.dat 19.05.2006 19:30 391.000 perfh007.dat 19.05.2006 19:30 63.580 perfc007.dat 19.05.2006 19:30 786.220 PerfStringBackup.INI 21.04.2006 20:18 24.670 java.exe 21.04.2006 20:18 28.768 javaw.exe 21.04.2006 20:18 53.352 jpicpl32.cpl 21.04.2006 09:55 221.184 wrap_oal.dll 21.04.2006 09:55 81.920 OpenAL32.dll 17.04.2006 13:48 90.296 FNTCACHE.DAT 07.04.2006 21:24 46.592 zlbw.dll 07.04.2006 21:24 4 winsub.xml 07.04.2006 21:24 61 svcp.csv ------------------------- Verzeichnis von C:\WINDOWS 23.05.2006 12:09 133.935 WindowsUpdate.log 23.05.2006 11:51 0 0.log 23.05.2006 11:51 50 wiaservc.log 23.05.2006 11:51 159 wiadebug.log 23.05.2006 11:49 2.048 bootstat.dat 23.05.2006 11:48 7.376 SchedLgU.Txt 20.05.2006 06:41 116 NeroDigital.ini 19.05.2006 19:28 42.312 DirectX.log 09.05.2006 01:29 4.334 rdt.ini 09.05.2006 01:29 6.400 balloon.wav 26.04.2006 14:53 385.704 setupapi.log 31.03.2006 22:50 69.833 wmsetup.log 31.03.2006 22:50 316.640 WMSysPr9.prx 30.03.2006 05:02 171 SYA3854AG.txt 08.02.2006 18:11 829 OEWABLog.txt ---------------------------- Verzeichnis von C:\ 23.05.2006 12:16 0 sys.txt 23.05.2006 12:15 4.340 system.txt 23.05.2006 12:15 136 systemtemp.txt 23.05.2006 12:13 91.487 system32.txt 23.05.2006 11:49 805.306.368 pagefile.sys 14.02.2006 01:00 458 memory.txt 08.02.2006 17:55 304 boot.ini -------------- Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp Findet er keine einzige Datei? |
|
|
||
23.05.2006, 12:23
Ehrenmitglied
Beiträge: 29434 |
#6
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next (poste das log) --------------------------------------------------------------------- Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) UnSpyPC in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.05.2006, 12:26
Member
Themenstarter Beiträge: 16 |
#7
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 23.05.2006 12:24:10 for strings: ; 'unspypc' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_USERS\S-1-5-21-839522115-776561741-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run] "UnSpyPC"="\"C:\\Programme\\UnSpyPC\\UnSpyPC.exe\"" ; End Of The Log... --------------------- 05/23/06 12:27:18 [Info]: BlackLight Engine 1.0.36 initialized 05/23/06 12:27:18 [Info]: OS: 5.1 build 2600 (Service Pack 2) 05/23/06 12:27:18 [Note]: 7019 4 05/23/06 12:27:18 [Note]: 7005 0 05/23/06 12:27:26 [Note]: 7006 0 05/23/06 12:27:26 [Note]: 7011 3460 05/23/06 12:27:26 [Note]: 7026 0 05/23/06 12:27:26 [Note]: 7026 0 05/23/06 12:27:29 [Note]: FSRAW library version 1.7.1015 05/23/06 12:27:58 [Info]: Hidden file: c:\WINDOWS\system32\favset.exe 05/23/06 12:27:58 [Note]: 10002 1 05/23/06 12:27:58 [Info]: Hidden file: c:\WINDOWS\system32\filesafer23.exe 05/23/06 12:27:58 [Note]: 10002 1 05/23/06 12:28:00 [Info]: Hidden file: c:\WINDOWS\system32\howiper.exe 05/23/06 12:28:00 [Note]: 10002 1 05/23/06 12:28:01 [Info]: Hidden file: c:\WINDOWS\system32\pppcgm.exe 05/23/06 12:28:01 [Note]: 10002 1 05/23/06 12:28:03 [Info]: Hidden file: c:\WINDOWS\system32\cstrb.exe 05/23/06 12:28:03 [Note]: 7002 32 05/23/06 12:28:03 [Note]: 7003 1 05/23/06 12:28:03 [Note]: 10002 1 05/23/06 12:28:03 [Info]: Hidden file: c:\WINDOWS\system32\sphlp32.exe 05/23/06 12:28:03 [Note]: 10002 1 05/23/06 12:28:18 [Info]: Hidden file: c:\WINDOWS\system32\wbem\wbemtest.exe 05/23/06 12:28:18 [Note]: 10002 1 05/23/06 12:29:34 [Note]: 7007 0 Dieser Beitrag wurde am 23.05.2006 um 12:30 Uhr von Stauffi editiert.
|
|
|
||
23.05.2006, 12:40
Ehrenmitglied
Beiträge: 29434 |
#8
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen. Zitat REGEDIT42. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ Zitat c:\WINDOWS\system32\favset.exePC neustarten 3. C:\Programme\UnSpyPC (deinstallieren/loschen) ------------------------------------------------------------------------------ 4. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O1 - Hosts: localhost 127.0.0.1PC neustarten ** du musst eine neue Internetverbindung erstellen ** Download FixWareout http://downloads.subratam.org/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt ** Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) ** Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. ** poste das neue Log vom HijackThis + das Log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.05.2006, 12:54
Member
Themenstarter Beiträge: 16 |
#9
Wenn ich bei der letzten Datei angelangt bin bei Killbox und auf Yes klicke um den PC Neuzustarten kommt:
PendingFileOperations Registry Data has been Removed by External Process! Werd etz mal den PC manuell neu starten |
|
|
||
23.05.2006, 12:55
Ehrenmitglied
Beiträge: 29434 |
#10
ja, starte du den Rechner neu
dann arbeite alles weitere ab __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.05.2006, 12:59
Member
Themenstarter Beiträge: 16 |
#11
Oke gut thx
Rechner is neu gestartet. 3. C:\Programme\UnSpyPC (deinstallieren/loschen) Der Ordner is nich vorhanden? Unsichtbar is er auch ned.... Werd etz mal das mit Hijack durcharbeiten ----- "O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe" is au nimma verfügbar...wurde anscheinend irgendwie gelöscht *grübel ------------------------------- Hier jetzt die 3 Log Dateien: HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 13:27:58, on 23.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ewido anti-malware\ewidoctrl.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\vsnpstd.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Christian\Desktop\hijackthis\HijackThis.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0C62054E-9B0C-4965-971E-66E6F7F0EEBB}: NameServer = 217.237.151.97 217.237.150.33 O17 - HKLM\System\CS1\Services\Tcpip\..\{0C62054E-9B0C-4965-971E-66E6F7F0EEBB}: NameServer = 217.237.151.97 217.237.150.33 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe ----------------------------------------------- Fixwareout: Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif ... Random Runs removed from HKLM ... PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Example ipsec6.exe is lagitamate »»»»» Search by size and names... »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool »»»»» Search five digit cs, dm and jb files This WILL/CAN also list Legit Files, Submit them at Virustotal ---------------------------------------------- Silent Runners.vbs: "Silent Runners.vbs", revision 45, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."] "snpstd" = "C:\WINDOWS\vsnpstd.exe" [empty string] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension" -> {HKLM...CLSID} = "ICQ Shell Extension" \InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ "System" = (value not set) HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder\pac.bmp" DESKTOP.INI DLL launch in local fixed drive directories: -------------------------------------------------------- WARNING! G: is an unreadable partition! Startup items in "Christian" & "All Users" startup folders: ----------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "InterVideo WinCinema Manager" -> shortcut to: "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe" [empty string] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" {6224F700-CBA3-4071-B251-47CB894244CD}\ "ButtonText" = "ICQ Pro" "MenuText" = "ICQ" "Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] SecuROM User Access Service (V7), UserAccess7, "C:\WINDOWS\system32\UAService7.exe" ["Sony DADC Austria AG."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 44 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 4 seconds. ---------- (total run time: 58 seconds) Dieser Beitrag wurde am 23.05.2006 um 13:30 Uhr von Stauffi editiert.
|
|
|
||
23.05.2006, 16:29
Ehrenmitglied
Beiträge: 29434 |
#12
scanne mit ewido und berichte
es muesste wieder alles in Ordnung sein................ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.05.2006, 17:22
Member
Themenstarter Beiträge: 16 |
#13
Yoah hab etz mal den Arbeitsspeicher durchgecheckt und der VM Virus is weg....und der Rest denk ich mal auch
Fettes Merci an dich....die Viren sind/waren ya echt verdammt hartknäckig :/ Aba echt grosses Respekt an dich das du so hilfsbereit bist und andren User zur Verfügung stehst |
|
|
||
Hier mal der Ewidobericht:
[608] VM_00D60000 -> Downloader.Agent.uj : Fehler beim Säubern
[636] VM_00C40000 -> Downloader.Agent.uj : Fehler beim Säubern
[1636] VM_00980000 -> Downloader.Agent.uj : Fehler beim Säubern
[1644] VM_00870000 -> Downloader.Agent.uj : Fehler beim Säubern
[1652] VM_003F0000 -> Downloader.Agent.uj : Fehler beim Säubern
[1772] VM_009A0000 -> Downloader.Agent.uj : Fehler beim Säubern
[1816] VM_003E0000 -> Downloader.Agent.uj : Fehler beim Säubern
[2760] VM_009D0000 -> Downloader.Agent.uj : Fehler beim Säubern
Weiss einfach keinen Rat mehr was ich machen soll :/